t1583-acquire-infrastructure

# T1583 - Acquire Infrastructure ## Descrição Adversários adquirem infraestrutura - servidores físicos ou em nuvem, domínios, VPS, botnets e serviços de terceiros - para sustentar suas operações ofensivas antes de qualquer contato com o alvo. Essa aquisição ocorre na fase de **Resource Development**, portanto é pré-operacional e raramente visível nas redes das vítimas. A técnica cobre um espectro amplo: registrar domínios tipossquatting que imitam marcas brasileiras (ex.: `bancodobrasil-seguro[.]com`), alugar VPS em provedores com políticas permissivas de abuso, contratar botnets de máquinas residenciais para mascarar a origem do tráfego, ou explorar camadas serverless (AWS Lambda, Cloudflare Workers) que dificultam o bloqueio por IP. O objetivo central é criar uma base de operações que se misture ao tráfego legítimo e sobreviva a takedowns parciais. No contexto **Brasil/LATAM**, grupos como [[g0094-kimsuky|Kimsuky]] e [[g0034-sandworm|Sandworm Team]] historicamente registraram domínios com aparência de entidades governamentais, bancárias e de telecomúnicações brasileiras para campanhas de [[t1566-phishing|Phishing]] direcionado. O [[g0119-indrik-spider|Indrik Spider]], operador do ransomware Dridex/Evil Corp, utiliza infraestrutura VPS rotativa para distribuição de [[t1059-command-and-scripting-interpreter|Command and Scripting Interpreter]] e C2. A adoção de serviços de cloud pública facilita o abuso de períodos de avaliação gratuitos, reduzindo o custo de entrada para atores menos sofisticados que operam no ecossistema cibercriminoso da região. > [!warning] Relevância para o Brasil > O Brasil é o segundo maior mercado de domínios typosquatting da América Latina. Grupos criminosos locais e APTs estrangeiros frequentemente registram domínios imitando Febraban, Banco Central, Receita Federal e operadoras de telecomúnicações para sustentar campanhas de [[t1598-phishing-for-information|Phishing for Information]] e distribuição de malware bancário. --- ## Attack Flow ```mermaid graph TB A([Adversário]) --> B[Reconhecimento de alvos] B --> C{T1583\nAcquire\nInfrastructure}:::highlight C --> D[Domínios Registrados] C --> E[VPS / Servidores Dedicados] C --> F[Botnet Alugada] C --> G[Serviços Serverless] D --> HPhishing\nC2 / Staging] E --> H F --> H G --> H H --> I([Operação Ativa]) classDef highlight fill:#e74c3c,color:#fff,stroke:#c0392b ``` --- ## Como Funciona **Passo 1 - Seleção e aquisição de recursos** O adversário escolhe o tipo de infraestrutura adequado ao objetivo: domínios para phishing/C2, VPS para staging de payloads, botnets residenciais para proxy de tráfego ou serviços serverless para C2 efêmero. Muitos provedores aceitam pagamento em criptomoeda, dificultando rastreamento financeiro. Períodos de avaliação gratuitos (AWS, GCP, Azure) são explorados para custo zero inicial. **Passo 2 - Configuração e camuflagem** A infraestrutura é configurada para imitar serviços legítimos: certificados TLS válidos via Let's Encrypt, registros MX funcionais, páginas de destino convincentes. Domínios tipossquatting replicam a identidade visual de bancos, e-commerce e órgãos governamentais brasileiros. VPS utiliza CDNs (Cloudflare, Fastly) como camada de ofuscação de IP real. **Passo 3 - Integração ao pipeline operacional** A infraestrutura adquirida é vinculada ao restante da cadeia: servidores de C2 recebem callbacks de [[t1566-phishing|Phishing]], domínios hospedam payloads de [[t1204-user-execution|User Execution]], botnets encaminham tráfego via [[t1090-proxy|Proxy]] para ocultar a origem real. A arquitetura é projetada para resiliência - múltiplos domínios, IPs rotativos e failover automático. --- ## Detecção > [!info] Fontes de Dados > A detecção de T1583 é majoritariamente **externa** à rede da vítima - ocorre por meio de monitoramento de registro de domínios, inteligência de ameaças e correlação de infraestrutura conhecida. **Event IDs relevantes (quando há impacto pós-aquisição):** | Event ID | Fonte | Contexto | |----------|-------|---------| | `4688` | Windows Security | Processo criado ao executar ferramentas de staging | | `3` | Sysmon | Conexão de rede para IP/domínio recém-registrado | | `22` | Sysmon | Consulta DNS para domínios com baixa reputação/idade | | `1116` | Windows Defender | Detecção de payload hospedado na infraestrutura adquirida | **Sigma Rule - Domínio recém-registrado em DNS query:** ```yaml title: DNS Query to Recently Registered Domain id: a7c3f2b1-9e4d-4a8c-b5f6-2d1e3c7a9b0f status: experimental description: > Detecta consultas DNS para domínios registrados há menos de 30 dias, padrão comum em infraestrutura adquirida para phishing ou C2. references: - https://attack.mitre.org/techniques/T1583/ author: RunkIntel daté: 2026-03-24 tags: - attack.resource_development - attack.t1583 logsource: category: dns product: windows detection: selection: QueryName|re: '^[a-z0-9\-]{4,30}\.(com|net|org|info|br|xyz|top|click) filter_known_good: QueryName|contains: - 'microsoft.com' - 'google.com' - 'amazonaws.com' - 'cloudflare.com' condition: selection and not filter_known_good falsepositives: - Novos serviços SaaS legítimos adotados pela organização - Parceiros de negócios com domínios recentemente registrados level: medium ``` --- ## Mitigação | ID | Mitigação | Implementação para Organizações Brasileiras | |----|-----------|---------------------------------------------| | [[m1056-pre-compromise\|M1056]] | Pre-Compromise | Monitorar feeds de domínios recém-registrados com palavras-chave da marca (ex.: razão social, nome de produtos) via serviços como DomainTools ou similar | | - | Threat Intelligence | Assinar feeds de IoCs (abuse.ch, TweetFeed, CERT.br) para bloquear IPs/domínios de infraestrutura conhecida de adversários antes de campanhas ativas | | - | DNS Filtering | Implementar DNS recursivo com filtragem de domínios de baixa reputação/idade (Cisco Umbrella, Cloudflare Gateway, Quad9) | | - | Network Monitoring | Monitorar conexões de saída para provedores VPS associados a abuso (AS não usuais, países de alto risco) | | - | Brand Protection | Registrar proativamente variações tipossquatting de domínios corporativos relevantes para o Brasil (`.com.br`, `.net.br`, `.org.br`) | --- ## Threat Actors e Software ### Grupos que utilizam T1583 [[g0094-kimsuky|Kimsuky]] (APT norte-coreano) registra domínios imitando think tanks, universidades e entidades governamentais sul-americanas para campanhas de spear-phishing contra pesquisadores e diplomatas. Identificado usando VPS em provedores asiáticos e europeus com pagamento em criptomoeda. [[g0034-sandworm|Sandworm Team]] (GRU, Rússia) adquire infraestrutura em lotes para campanhas de desinformação e sabotagem - incluindo domínios que imitam veículos de imprensa e órgãos eleitorais em países-alvo, com potencial de impacto em eleições da região LATAM. [[g1003-ember-bear|Ember Bear]] (UAC-0056, Ucrânia/Rússia) utiliza VPS em nuvem para hospedar wipers e stagers antes de campanhas destrutivas, aproveitando a velocidade de provisionamento para evitar bloqueios de infraestrutura. [[g0119-indrik-spider|Indrik Spider]] (Evil Corp) opera botnets de larga escala alugadas para distribuição de Dridex e ransomware WastedLocker, com infraestrutura frequentemente rotativa e distribuída globalmente para dificultar takedowns. [[g1033-star-blizzard|Star Blizzard]] (FSB, Rússia) registra domínios de spear-phishing altamente personalizados para alvos de alto valor (jornalistas, ONGs, governo), adquirindo infraestrutura semanas antes das campanhas para maturar a reputação dos domínios. [[g1041-sea-turtle|Sea Turtle]] (Turquia) é especializado em sequestro de DNS - adquire ou compromete infraestrutura de DNS para redirecionar tráfego legítimo, incluindo registradores de domínios e provedores de DNS. [[g1030-agrius|Agrius]] (Irã) utiliza infraestrutura adquirida como plataforma de staging para wipers disfarçados de ransomware, com foco histórico em entidades israelenses mas com capacidade de pivô regional. [[g1052-contagious-interview|Contagious Interview]] (Lazarus/DPRK) adquire infraestrutura para distribuição de pacotes npm maliciosos e entrevistas falsas de emprego - registra domínios que imitam plataformas de recrutamento e empresas de tecnologia. ### Sub-técnicas relacionadas - [[t1583-001-domains|T1583.001 - Domains]] - registro de domínios para phishing e C2 - [[t1583-003-virtual-private-server|T1583.003 - Virtual Private Server]] - VPS para staging e C2 - [[t1583-005-botnet|T1583.005 - Botnet]] - aluguel de botnets para proxy de tráfego - [[t1583-006-web-services|T1583.006 - Web Services]] - abuso de serviços legítimos (Pastebin, GitHub, Discord) - [[t1583-007-serverless|T1583.007 - Serverless]] - C2 efêmero via funções serverless - [[t1583-008-malvertising|T1583.008 - Malvertising]] - redes de anúncios para distribuição de malware --- ## Sub-técnicas - [[t1583-001-domains|T1583.001 - Domains]] - [[t1583-002-dns-server|T1583.002 - DNS Server]] - [[t1583-003-virtual-private-server|T1583.003 - Virtual Private Server]] - [[t1583-004-server|T1583.004 - Server]] - [[t1583-005-botnet|T1583.005 - Botnet]] - [[t1583-006-web-services|T1583.006 - Web Services]] - [[t1583-007-serverless|T1583.007 - Serverless]] - [[t1583-008-malvertising|T1583.008 - Malvertising]]